W dniu wczorajszym upubliczniono informacje o lukach w popularnej przeglądarce internetowej Firefox (dotyczy wersji 2.0.0.11 i wcześniejszych), które po części odnoszą się też do aplikacji Thunderbird oraz SeaMonkey. Jest ich dziesięć, z czego trzy o poziomie krytycznym, jedna wysokim, trzy przeciętnym, a pozostałe niskim.

Pierwsza krytyczna podatność (oznaczona symbolem 2008-01) powoduje niestabilność silnika przeglądarki, co w najlepszym wypadku może doprowadzić do błędu aplikacji i przerwania jej działania, w najgorszym do wykonania dowolnego kodu w systemie. Luka ta występuje także w kliencie pocztowym Thunderbird (tylko, jeżeli w jego ustawieniach zezwolimy na wykonywanie skryptów JavaScript), oraz aplikacji SeaMonkey.

Druga z krytycznych luk (2008-03) pozwala specjalnie spreparowanemu skryptowi JavaScript wykonać pewne czynności z większymi prawami, m.in. wstrzyknąć kod JS innej stronie WWW. Podatność znajduje się także w aplikacjach Thunderbird i SeanMonkey.

Ostatni krytyczny błąd występuje w sposobie przetwarzania plików graficznych, kiedy użytkownik opuszcza stronę. Luka pozwala m.in. wykraść historię odwiedzanych stron, a także doprowadzić do błędu i przerwania działania aplikacji, co z kolei może zostać wykorzystane do wykonania w systemie dowolnego kodu. Podatność nie występuje w programie Thunderbird.

Pozostałe luki zezwalają m.in. na ładowanie kodów JS, plików graficznych oraz arkuszy stylów z dowolnego miejsca na lokalnym dysku; czy wyczyszczenie listy haseł zapamiętanych przez Firefoxa (bez ich kradzieży).

Użytkownicy korzystający z przeglądarki Firefox oraz SeaMonkey proszeni są o jak najszybsze zaktualizowanie ich do najnowszej wersji (2.0.0.12 dla Firefoxa i 1.1.8 dla SeaMonkey). Nowa wersja klienta pocztowego Thunderbird ma się ukazać w niedługim czasie, do tego momentu należy zadbać, by w ustawieniach wyłączona była możliwość obsługiwania przez aplikację skryptów JS.

Źródło: www.mozilla.org

Mozilla Foundation opublikowała nowe wersje przeglądarki Firefox 1.5 oraz klienta “all-in-one” SeaMonkey 1.0. Powodem było wykrycie kilku poważnych błędów.
Wykryte luki dotyczyły m.in. wykonywania kodu Javascript oraz obsługi podpisów cyfrowych RSA. Najpoważniejsza z nich potencjalnie umożliwia wykonanie dowolnego kodu poprzez manipulację zawartością pamięci i w konsekwencji przejęcie systemu.

Luki zostały poprawione w wersji 1.5.0.8 Firefoxa oraz SeaMonkey 1.0.6

Ze względu na to, że część bibliotek Firefoxa jest wykorzystywana także w kliencie pocztowym Thunderbird, problemy dotyczą również tego programu.

Ujawnione błędy nie występują w wersji 2.0 przeglądarki Firefox, jednak aktualizacje udostępniono, gdyż Mozilla planuje wspieranie linii 1.5 przez rok od premiery nowej wersji, a więc do października 2007 r.

Więcej informacji:

Mozilla Foundation Security Advisory 2006-65 – http://www.mozilla.org/security/announce/2006/mfsa2006-65.html

Mozilla Foundation Security Advisory 2006-66 – http://www.mozilla.org/security/announce/2006/mfsa2006-66.html

Mozilla Foundation Security Advisory 2006-67 – http://www.mozilla.org/security/announce/2006/mfsa2006-67.html

Secunia Advisory 22722: Mozilla Firefox and SeaMonkey Multiple Vulnerabilities – http://secunia.com/advisories/22722/

W przeglądarce Firefox wykryto aż siedem poważnych błędów. Niektóre z nich pozwalają lub mogą pozwalać na zdalne przejęcie kontroli nad systemem.
Błędy dotyczą między innymi mechanizmu autoaktualizacji (zbyt słaby sposób weryfikacji tożsamości serwera) i interpretacji kodu JavaScript.

Błędy dotyczą Mozilla Firefox 0.x oraz 1.x. Zostały naprawione w wersji 1.5.0.7, którą można pobrać ze strony producenta: http://www.mozilla.com/firefox

Secunia Advisory SA21906 ”

Mozilla Firefox Multiple Vulnerabilities” – http://secunia.com/advisories/21906/

W Internecie pojawił się blog poświęcony przeglądarkom WWW. Jego autor, HD Moore, obiecuje, że przez cały lipiec będzie codziennie publikował informacje o wykrytych przez siebie lukach. Na początek na tapecie znalazł się Microsoft Internet Explorer.
Dwie opisane 2 lipca luki pozwalają potencjalnie na zdalne wykonanie kodu w systemie poprzez przepełnienie sterty. Obie luki dotyczą najprawdopodobniej wszystkich wersji przeglądarki włącznie z MSIE 7 beta 3.

Microsoft został poinformowany o istnieniu błędów już w marcu. Do czasu opublikowania przez producenta odpowiednich poprawek zaleca się całkowite wyłączenie wykonywania wtyczek ActiveX (Narzędzia->Opcje internetowe->Zabezpieczenia->Poziom niestandardowy) i nieodwiedzanie niezaufanych adresów.

Kolejne luki opisane w blogu znane są od kilku miesięcy i dotyczą przeglądarki Mozilla Firefox (luka poprawiona w wersji 1.5.0.3) oraz dostępu do książki adresowej MS Outlook Express z przeglądarki MSIE (luka poprawiona w jednym z hotfixów).

Browser Fun – http://browserfun.blogspot.com/

Przed rokiem opublikowaliśmy raport na temat bezpieczeństwa najbardziej popularnych przeglądarek internetowych. Obecnie publikujemy drugą edycję tego raportu.
Podobnie jak w roku ubiegłym, jako podstawę oceny poziomu bezpieczeństwa przeglądarki przyjęliśmy analizę istniejących luk systemowych, ze szczególnym uwzględnieniem luk krytycznych oraz tego, czy producent zadbał o ich załatanie.

Przeglądarka internetowa wpływa bezpośrednio na bezpieczeństwo korzystania z Internetu, dlatego jej wybór staje się niezwykle istotny. Mamy nadzieję, że nasze opracowanie pomoże w podjęciu decyzji.

Raport CERT Polska – Bezpieczeństwo przeglądarek internetowych.

Wykryto siedem luk w przeglądarce Firefox, kliencie pocztowym Thunderbird. Wśród nich znajduje się jedna krytyczna. Cztery stanowią potencjalne zagrożenie, jakim jest uruchomienie zdalnego kodu.

Zagrożone oprogramowanie:

- Firefox

- Thunderbird

- Mozilla Suite

- SeaMonkey

Wykorzystując błędy w tych programach można uruchomić skrypt JavaScript z prawami przeglądarki lub doprowadzić do uruchomienia zdalnego kodu.

Thunderbird 1.5 będzie wrażliwy na odkryte luki, w sytuacji kiedy zostanie włączona obsługa JavaScript. Ta opcja domyślnie jest wyłączona. Thunderbird w standardowej konfiguracji nie jest zagrożony na ataki przy użyciu odkrytych luk.

Dostępna jest już bezpieczna wersja przeglądarki Firefox 1.5.0.1.

http://www.mozilla.com/firefox/

Więcej informacji:

http://www.mozilla.org/security/announce/mfsa2006-01.html

http://www.mozilla.org/security/announce/mfsa2006-02.html

http://www.mozilla.org/security/announce/mfsa2006-04.html

http://www.mozilla.org/security/announce/mfsa2006-05.html

http://www.mozilla.org/security/announce/mfsa2006-06.html

http://www.mozilla.org/security/announce/mfsa2006-07.html

http://www.mozilla.org/security/announce/mfsa2006-08.html